Interview de Michel Juvin, RSSI d'un grand groupe de Luxe, réalisé lors des Assises de la Sécurité 2017
Michel Juvin, RSSI & Expert CESIN : « Le rôle du CISO est d’anticiper »
Interview de Michel Juvin, RSSI d'un grand groupe de Luxe, réalisé lors des Assises de la Sécurité 2017
J’aime bien ce que dit Michel Juvin sur les différentes fonctions des acteurs de la protection de l’information.
Il y a le RSSI qui couvre plutôt le domaine technique/opérationnel et le CISO qui est dans la gouvernance, la réflexion et la compréhension des menaces et donc dans l’anticipation.
L’étendue des compétences que doit connaître le CISO, qui a du être précédemment un RSSI (ie: avoir de bonnes compétences techniques) est très large, et implique qu’il a de nombreuses années d’expérience et pas simplement dans le domaine de la sécurité. Beaucoup de CISO expérimentés ont été Architecte, Administrateur, Auditeur ou encore CIO.
Il doit aussi avoir une réelle capacité de réflexion en associant ses connaissances techniques (réseaux administration, …), connaissance de l’ensemble des applications opérationnelles, les offres du marché en matière d’outsourcing (Cloud) dans tous les domaines (Data, Servers, API/Webservices, les solutions de sécurité, l’organisation), les enjeux métiers de l’entreprise, pour apprendre du contexte des menaces et être en mesure d’anticiper. Il doit pouvoir donner son avis d’expert ; expertise qui doit être challengée tous les 2 ans par un cabinet de conseil ou encore Benchmarkée par rapport aux autres entreprises et plus spécifiquement à « son » secteur de marché.
Mais aussi de l’autre coté, il doit pouvoir s’appuyer sur une équipe opérationnelle qui exécute la mise en place des solutions de sécurité et les contrôle pour assurer la protection du capital informationnel de l’entreprise. Dans certains cas d’organisation, il est sans personne sous sa responsabilité directe et donc le CTO doit veiller au maintient en condition opérationnelle de la protection de l’information, dans d’autre cas, il a lui même une équipe en charge d’opérer la sécurité.
L’étendue de ses compétences/connaissances, son réseau et sa capacité de réflexion font de lui une pièce maîtresse de l’organisation en mesure de rapporter au comité de direction.
En parallèle le CISO a un niveau de rémunération conséquent qui est plus proche de celui du CIO contrairement aux analyses statistiques que l’on voit aujourd’hui dans les médias. Par exemple, pour un groupe du CAC 40, sa rémunération devrait être autour des 200K€.